none
Не обновляется политика блокировки запуска программ RRS feed

  • Вопрос

  • Есть политика по ограничению запуска программ (по их именам).
    С некоторого времени она вдруг, как бы сказать правильно, - перестала обновляться. Т.е. я добавляю туда новые имена файлов - но они не распространяются на пользователя. Т.е. для конечного получателя политики она как-бы остановилась на определенном значении и отрабатывает только те установки, которые были на определенный момент, даже если я из политики удаляю записи о именах файлах. Ошибок нету ни на КД ни на клиенте. по гпрезалту политика применяется без ограничений. Ошибок в доступе к политике тоже нету. Если я отключаю связь политики с объектом, то после gpupdate все ограничения снимаются и запускаются все файлы.

    Заметил после добавления с список нового файла, грешил, что он запускает что-то ещё (т.к. софт русский и беспощадный), но пробовал на нескольких разных приложениях - не работауют. Убирал из списка уже разрешенные - разрешение не снимается. Как уже говорил ощущение что политика застопорилась на каком-то моменте и обновляется только визуально, а до конечного пользователя обновление не доходит.

    Спасибо за любые идеи

    Чуть не забыл.

    rsop.msc Это подтверждает. Имя политики показывает верно, но содержимое старое без изменений. Если связь отключать, то из rsop.msc она тоже пропадает.

    Доменный лес таков

    Головной домен contoso.local из 2ух КД, Ошибок в синхронизации нету. визуально тоже всё тут-же обновляется при изменениях в политиках-пользователях и т.д.

    Дочерний домен subfirma.contoso.local из одного КД. Всё также без проблем. Подхватывает эту политику из головного и распространяет уже по своим объектам. Обновления также видны. Но по факту всё также как и в головном - устаревшая политика.


    • Изменено miv63 4 февраля 2016 г. 8:55
    4 февраля 2016 г. 8:43

Ответы

  • Теперь всё понятно - в принципе, я именно так и понял, но, на всякий случай, решил уточнить.

    wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="04322835-D6CD-11E1-93E7-806E6F6E6963" call ResumeReplication 

    - это одна команда. Но, прежде чем выполнять её, обязательно сделайте резервную копию всех своих политик. В Win2K8 эта команда приводила к тому, что содержимое реплицируемой папки заменялось содержимым с такой же папки с партнёра репликации (т.е. производилась начальная репликация). В Win2012 поведение службы DFSR доработано, и она теперь старается именно возобновить репликацию, без потери файлов. Но как она в реальности поведёт себя в данном конкретном случае - это я сказать не берусь.

    Если команду выполнить не удастся, то есть альтернативный вариант восстановления репликации - произвести полномочное (authoritative) восстановление на INIESTA (и, одновременно, неполномочное - на NEYMAR) методом, изложенным в статье 2218556 MS KB, раздел How to perform an authoritative synchronization of DFSR-replicated SYSVOL (like "D4" for FRS)

    Резервная копия перед проведением всех манипуляций должна быть сделана обязательно.


    Слава России!

    • Помечено в качестве ответа miv63 9 февраля 2016 г. 6:35
    8 февраля 2016 г. 10:40

Все ответы

  • Для начала проверьте, что политики действительно обновляются синхронно на обоих КД: подключитесь консолью управления групповой политики ко второму КД (по умолчанию она подключается к PD, но можно выбрать, куда подключаться) и сравните содержимое проблемной политики с тем, что должно быть.


    Слава России!

    4 февраля 2016 г. 10:35
  • И правда, этот момент я пропустил. На втором КД устаревшая политика. И политика клиентами берётся именно с него. Что делать, как быть? Ошибок в репликации нету. 

    INIESTA  - PD

    Neymar SD

    DC-MSK - Дочерний PD

    PS C:\Windows\system32> repadmin /replsummary
    Время запуска сводки по репликации: 2016-02-05 09:14:57

    Начат сбор данных для сводки по репликации, подождите:
      ......


    Исходный DSA        наиб. дельта     сбоев/всего %%   ошибка
     DC-MSK                    24m:39s    0 /   8    0
     INIESTA                   24m:24s    0 /  10    0
     NEYMAR                    24m:40s    0 /  10    0


    Конечный DSA        наиб. дельта      сбои/всего %%   ошибка
     DC-MSK                    24m:24s    0 /   8    0
     INIESTA                   24m:40s    0 /  10    0
     NEYMAR                       :10s    0 /  10    0

    _______________________________________________

    PS C:\Windows\system32> repadmin /showrepl

    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    Default-First-Site-Name\INIESTA
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: 9706b4a2-cff6-47ee-806a-fb8f178f510b
    DSA - код вызова: 9706b4a2-cff6-47ee-806a-fb8f178f510b

    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================

    DC=lime,DC=local
        Default-First-Site-Name\NEYMAR через  RPC
            DSA - GUID объекта: fc15ac6b-23e0-4c2e-b3a5-aa709a3886ec
            Последняя попытка @ 2016-02-05 09:15:01 успешна.

    CN=Configuration,DC=lime,DC=local
        Default-First-Site-Name\NEYMAR через  RPC
            DSA - GUID объекта: fc15ac6b-23e0-4c2e-b3a5-aa709a3886ec
            Последняя попытка @ 2016-02-05 08:50:17 успешна.
        Default-First-Site-Name\DC-MSK через  RPC
            DSA - GUID объекта: f5fbe4a0-4244-40b8-9172-5f2ecf0d5eea
            Последняя попытка @ 2016-02-05 08:50:18 успешна.

    CN=Schema,CN=Configuration,DC=lime,DC=local
        Default-First-Site-Name\DC-MSK через  RPC
            DSA - GUID объекта: f5fbe4a0-4244-40b8-9172-5f2ecf0d5eea
            Последняя попытка @ 2016-02-05 08:50:18 успешна.
        Default-First-Site-Name\NEYMAR через  RPC
            DSA - GUID объекта: fc15ac6b-23e0-4c2e-b3a5-aa709a3886ec
            Последняя попытка @ 2016-02-05 08:50:18 успешна.

    DC=ForestDnsZones,DC=lime,DC=local
        Default-First-Site-Name\NEYMAR через  RPC
            DSA - GUID объекта: fc15ac6b-23e0-4c2e-b3a5-aa709a3886ec
            Последняя попытка @ 2016-02-05 09:15:10 успешна.
        Default-First-Site-Name\DC-MSK через  RPC
            DSA - GUID объекта: f5fbe4a0-4244-40b8-9172-5f2ecf0d5eea
            Последняя попытка @ 2016-02-05 09:15:31 успешна.

    DC=DomainDnsZones,DC=lime,DC=local
        Default-First-Site-Name\NEYMAR через  RPC
            DSA - GUID объекта: fc15ac6b-23e0-4c2e-b3a5-aa709a3886ec
            Последняя попытка @ 2016-02-05 09:15:23 успешна.

    DC=msk,DC=lime,DC=local
        Default-First-Site-Name\NEYMAR через  RPC
            DSA - GUID объекта: fc15ac6b-23e0-4c2e-b3a5-aa709a3886ec
            Последняя попытка @ 2016-02-05 08:50:18 успешна.
        Default-First-Site-Name\DC-MSK через  RPC
            DSA - GUID объекта: f5fbe4a0-4244-40b8-9172-5f2ecf0d5eea
            Последняя попытка @ 2016-02-05 09:16:11 успешна.

    5 февраля 2016 г. 5:16
  • То, что вы проверили - это не вся репликация.

    Та часть политики, которая, собственно, содержит настройки, хранится в общей папке SYSVOL и реплицируется другой службой - скорее всего, Репликацией DFS (DFSR), но это может быть и Служба репликации файлов(NtFrs), если домен изначально создавался на Win2K/2K3 (Чтобы определить, проще посмотреть, какая из этих служб у вас на КД запущена).

    Ошибки этих служб нужно смотреть в их журналах событий в разделе Журналы Служб и приложений (на обоих контроллерах домена). Некоторые из ошибок фиксируются только в течение небольшого (порядка получаса) периода после перезапуска служб, поэтому, если в жураналх ошибок нет - перезапустите службы.


    Слава России!

    5 февраля 2016 г. 10:34
  • Есть ошибки:

     

    Служба репликации DFS остановила репликацию на папке со следующим локальным путем: C:\Windows\SYSVOL\domain. Этот сервер был отключен от других партнеров в течение 85 дн., что превышает период, разрешенный параметром MaxOfflineTimeInDays (60). Репликация DFS считает данные в папке устаревшими, и этот сервер не будет реплицировать данную папку до устранения ошибки. 

    Чтобы возобновить репликацию этой папки,  воспользуйтесь оснасткой управления DFS для удаления этого сервера из группы репликации, а затем добавьте ее обратно в группу. Сервер выполнит задачу начальной синхронизации, которая заменит устаревшие данные новыми данными с других участников группы репликации. 

    Сделал wmic.exe /namespace:\\root\microsoftdfs path DfsrMachineConfig set MaxOfflineTimeInDays=XXX

    до 120 дней. Перезагрузил оба КД. Вторичный КД написал, что репликация прошла. Но первый теперь сыпет ошибкой 

       

    Служба репликации DFS остановила репликацию на томе C:. Это происходит, если рабата базы данных DFSR JET была завершена с ошибками, а автоматическое восстановление отключено. Чтобы устранить эту проблему, заархивируйте файлы в соответствующих реплицированных папках, а затем возобновите репликацию с помощью метода WMI ResumeReplication. 

    Дополнительные сведения: 
    Том: C: 
    GUID: 04322835-D6CD-11E1-93E7-806E6F6E6963 

    Действия для восстановления 
    1. Заархивируйте файлы во всех реплицированных папках на томе. Если не сделать этого, может произойти потеря данных при разрешении конфликтов во время восстановления реплицированных папок. 
    2. Чтобы возобновить репликацию тома, используйте метод WMI ResumeReplication класса DfsrVolumeConfig. Например, в командной строке с повышенными привилегиями введите следующую команду: 
    wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="04322835-D6CD-11E1-93E7-806E6F6E6963" call ResumeReplication 

    Дополнительные сведения см. на сайте http://support.microsoft.com/kb/2663685.

    Попробовал сделать как советует ивентлог, но получил ошибку

    PS C:\Windows\system32> wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="04322835-D6CD-11E1-9
    3E7-806E6F6E6963" call ResumeReplication

    Недопустимый параметр для этого уровня.

    делал от имени Администратора.

    Ситуация собственно не меняется - ошибок теперь на 2-ом КД нету, но и репликаций тоже нету

    7 февраля 2016 г. 14:31
  • Во-прервых, я уже запутался, какой у вас где контроллер домена первичный, а какой вторичный, где лежат правильные файлы политик, где были и есть ошибки и где вы выполняли команды.

    Давайте сделаем так, раз уж вы выложили имена своих КД - сообщите всё с привязкой к этим именам  -NEYMAR и INIESTA (DC-MSK не интересен, потому как там свой домен и свои политики): какой из них первичный, какой вторичный, на каком лежат правильные политики (и лежат ли ещё - необдуманные манипуляции с DFSR могут привести к потере файлов), на каком была первая ошибка, которую вы устранили, на каком сейчас идут ошибки.

    Потому что если я что-то неправильно понял и дам из-за этого неправильный совет - то это как раз может окончиться вот этой самой потерей файлов.

    PS И команду, которая у вас не прошла, вы в одной строке набирали на самом деле, а на части она у вас оказалась разбита из-за границы окна, так?


    Слава России!

    7 февраля 2016 г. 15:31
  • 1. PS C:\Windows\system32> netdom query fsmo
    Хозяин схемы                iniesta.lime.local
    Хозяин именования доменов   iniesta.lime.local
    PDC                         iniesta.lime.local
    Диспетчер пула RID          iniesta.lime.local
    Хозяин инфраструктуры       iniesta.lime.local
    Команда выполнена успешно.

    2. На нём же и лежат правильные политики, которые не реплецируются на кд neymar и обратно.

    3. Предупреждения на кд iniesta

               ______________

      

    Служба репликации DFS остановила репликацию на томе C:. Это происходит, если рабата базы данных DFSR JET была завершена с ошибками, а автоматическое восстановление отключено. Чтобы устранить эту проблему, заархивируйте файлы в соответствующих реплицированных папках, а затем возобновите репликацию с помощью метода WMI ResumeReplication. 

    Дополнительные сведения: 
    Том: C: 
    GUID: 04322835-D6CD-11E1-93E7-806E6F6E6963 

    Действия для восстановления 
    1. Заархивируйте файлы во всех реплицированных папках на томе. Если не сделать этого, может произойти потеря данных при разрешении конфликтов во время восстановления реплицированных папок. 
    2. Чтобы возобновить репликацию тома, используйте метод WMI ResumeReplication класса DfsrVolumeConfig. Например, в командной строке с повышенными привилегиями введите следующую команду: 
    wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="04322835-D6CD-11E1-93E7-806E6F6E6963" call ResumeReplication 

    _________________________

    4. Предупреждение на КД neymar                        

    Служба репликации DFS останавливает подключение к партнеру INIESTA  группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение. 

    Дополнительные сведения: 
    Ошибка: 9033 (Запрос был отменен завершением работы) 
    Идентификатор подключения: 536D45C2-0829-4D95-B8A1-FABBD49E0A1E 
    Идентификатор группы репликации: 02726113-33CD-411A-BB9D-03C4951D4356

    ____________________________________________

    Это последние записи в ивентлоге от 07.02 23:01 

    Больше записей нету, сервера не перезагружались.

    P.S. Про команду и разбитие на части как-то не подумал :) Ввёл в консоль копи-пастой. Попробовать выполнить нормально?

    P.S.S. Про DC-MSK - на нём как и свои политики, так и те что принадлежат и КД iniesta.

                                                                                                            
    8 февраля 2016 г. 4:22
  • Теперь всё понятно - в принципе, я именно так и понял, но, на всякий случай, решил уточнить.

    wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="04322835-D6CD-11E1-93E7-806E6F6E6963" call ResumeReplication 

    - это одна команда. Но, прежде чем выполнять её, обязательно сделайте резервную копию всех своих политик. В Win2K8 эта команда приводила к тому, что содержимое реплицируемой папки заменялось содержимым с такой же папки с партнёра репликации (т.е. производилась начальная репликация). В Win2012 поведение службы DFSR доработано, и она теперь старается именно возобновить репликацию, без потери файлов. Но как она в реальности поведёт себя в данном конкретном случае - это я сказать не берусь.

    Если команду выполнить не удастся, то есть альтернативный вариант восстановления репликации - произвести полномочное (authoritative) восстановление на INIESTA (и, одновременно, неполномочное - на NEYMAR) методом, изложенным в статье 2218556 MS KB, раздел How to perform an authoritative synchronization of DFSR-replicated SYSVOL (like "D4" for FRS)

    Резервная копия перед проведением всех манипуляций должна быть сделана обязательно.


    Слава России!

    • Помечено в качестве ответа miv63 9 февраля 2016 г. 6:35
    8 февраля 2016 г. 10:40
  • Спасибо, резервная копия имеется ввиду сохранить весь SYSVOL ?

    8 февраля 2016 г. 11:00
  • Спасибо, резервная копия имеется ввиду сохранить весь SYSVOL ?


    Лучше, кончено - весь сервер ;-) , но для сохранения шаблонов политик достаточно сохранить содержимое общей папки SYSVOL\имя.домена (по умолчанию это C:\WINDOWS\SYSVOL\Domain) - реплицируется именно эта папка.

    Слава России!

    8 февраля 2016 г. 11:40
  • Что-то странное всё это. Команда так и не выполняется. Запускаю PS от имени админа. Чего ему может не хватать? Хотелось бы конечно попытаться сначала сделать так как советует сам МС в ивентлоге.
    8 февраля 2016 г. 12:08
  • Запустите командную строку в режиме администратора (через меню по правой кнопке мыши, нажатой на кнопке Пуск (2012 R2) или в левом нижнем углу (2012)) и выполните оттуда: у Powershell несколько другие соглашения касательно параметров командной строки, так что дело может быть в этом.


    Слава России!



    • Изменено M.V.V. _ 8 февраля 2016 г. 12:34
    8 февраля 2016 г. 12:33
  • Точно :) Спасибо. Вроде всё заработало в обе стороны. 
    9 февраля 2016 г. 6:35